適用於 SAP 應用程式的 Microsoft Sentinel 解決方案：部署概觀

使用適用於 SAP 應用程式的 Microsoft Sentinel 解決方案，透過 Microsoft Sentinel 監視 SAP 系統，偵測 SAP 應用程式商業規則和應用層的複雜威脅。

本文介紹 SAP 應用程式部署的 Microsoft Sentinel 解決方案。

重要

已注意到的功能目前處於預覽狀態。 無代理程式數據連接器處於 有限預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

解決方案元件

適用於 SAP 應用程式的Microsoft Sentinel 解決方案包含資料連接器，其會從 SAP 系統收集記錄，並將其傳送至您的Microsoft Sentinel 工作區，以及現成的安全性內容，協助您深入瞭解組織的 SAP 環境，並偵測及回應安全性威脅。

Data connector (資料連接器)

適用於 SAP 應用程式的Microsoft Sentinel 解決方案同時支援無代理程式數據連接器和容器化數據連接器代理程式。 這兩個代理程式都會從整個 SAP 系統環境收集所有上線 SAP SID 的應用程式記錄，然後在 Microsoft Sentinel 中將這些記錄傳送至 Log Analytics 工作區。

選取下列其中一個索引標籤以深入瞭解：

沒有代理程式資料連接器 （有限預覽版）

適用於 SAP 的 Microsoft Sentinel 無代理程序數據連接器會使用 SAP Cloud Connector 和 SAP Integration Suite 連線到您的 SAP 系統，並從中提取記錄，如下圖所示：

藉由使用 SAP Cloud Connector，無代理程式數據連接器會從現有的設定和已建立的整合流程中獲利。 這表示您不需要再次處理網路挑戰，因為執行 SAP Cloud Connector 的人員已經完成該程式。

無代理程式的數據連接器與 SAP S/4HANA Cloud、RISE with SAP 私有版、SAP S/4HANA 內部部署以及 SAP ERP 中央元件 (ECC) 相容，確保現有安全性內容的持續功能，包括偵測、工作簿和劇本。

無代理程式數據連接器會擷取重要的安全性記錄，例如安全性稽核記錄、變更文件記錄和使用者主要數據，包括使用者角色和授權。

容器化數據連接器代理程式

例如，下圖顯示具有生產和非生產系統之間分割的多重SID SAP 環境，包括 SAP Business Technology Platform。 此映像中的所有系統都會上線至 SAP 解決方案Microsoft Sentinel。

代理程式會連線至您的 SAP 系統，以從中提取記錄和其他資料，然後將這些記錄傳送至您的 Microsoft Sentinel 工作區。 若要這樣做，代理程式必須使用專為此目的建立的使用者和角色，向SAP系統進行驗證。

Microsoft Sentinel 支援一些選項來儲存代理程式組態資訊，包括 SAP 驗證秘密的設定。 哪一個選項的決策可能取決於您部署 VM 的位置，以及您使用的 SAP 驗證機制。 支持的選項如下所示，依喜好設定順序列出：

• 透過 Azure 系統指派的受控識別存取 Azure 金鑰保存庫
• 透過 Microsoft Entra ID registered-application Service 主體存取的 Azure 金鑰保存庫
• 純文字「設定檔」

您也可以使用 SAP 的安全網路通訊 （SNC） 和 X.509 憑證進行驗證。 雖然使用SNC可提供較高層級的驗證安全性，但並非所有案例都可行。

安全性內容

適用於 SAP 應用程式的Microsoft Sentinel 解決方案包含下列類型的安全性內容，可協助您深入瞭解組織的 SAP 環境，並偵測及回應安全性威脅：

• 威脅偵測的分析規則 和 監看清單 。
• 方便數據存取的函式 。
• 用來建立互動式數據視覺效果的活頁簿 。
• 自定義內建解決方案參數的監看清單 。
• 您可以用來自動回應威脅的劇本 。

如需詳細資訊，請參閱 sap 應用程式的Microsoft Sentinel 解決方案：安全性內容參考。

部署流程和角色

部署適用於 SAP 應用程式的Microsoft Sentinel 解決方案牽涉到數個步驟，而且需要跨多個小組共同作業，視您使用無代理程式數據連接器或數據連接器代理程式而有所不同。 選取下列其中一個索引標籤以深入瞭解：

沒有代理程式資料連接器 （有限預覽版）

針對 SAP 應用程式部署Microsoft Sentinel 解決方案牽涉到數個步驟，而且需要跨 安全性和SAP BASIS 小組共同作業。 下圖顯示針對 SAP 應用程式部署 Microsoft Sentinel 解決方案的步驟，並指出相關小組：

建議您在規劃部署時包含這兩個小組，以確保已配置工作，且部署可以順暢地移動。

部署步驟包括：

1. 檢閱部署 SAP 無代理程式數據連接器的必要條件。

2. 從內容中樞部署 SAP 應用程式解決方案。 此步驟由 Azure 入口網站的安全性小組處理。

3. 為Microsoft Sentinel 解決方案設定 SAP 系統，包括設定 SAP 授權、設定 SAP 稽核等等。 建議您讓SAP BASIS小組完成這些步驟，而我們的檔包含SAP文件的參考。 在安裝解決方案之前，SAP BASIS 團隊可以先完成此步驟中的某些程序。

4. 使用無代理程式數據連接器與 SAP Cloud Connector 連接 SAP 系統 。 使用 SAP BASIS 小組提供的資訊，您的安全性小組會在 Azure 入口網站 上處理此步驟。

5. 啟用 SAP 偵測和威脅防護。 此步驟由 Azure 入口網站的安全性小組處理。

容器化數據連接器代理程式

部署適用於 SAP 應用程式的Microsoft Sentinel 解決方案牽涉到數個步驟，而且需要跨多個小組共同作業，包括 安全性、 基礎結構和 SAP BASIS 小組。 下圖顯示針對 SAP 應用程式部署 Microsoft Sentinel 解決方案的步驟，並指出相關小組：

建議您在規劃部署時涉及所有相關小組，以確保已配置工作，且部署可以順暢地移動。

部署步驟包括：

1. 檢閱為 SAP 應用程式部署 Microsoft Sentinel 解決方案的必要條件。 某些必要條件需要與您的基礎結構或 SAP BASIS 小組協調。

2. 下列步驟可以平行執行，因為它們牽涉到不同的小組，而且彼此不相依：

   1. 從內容中樞部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案。 請確定您為環境安裝正確的解決方案。 此步驟由 Azure 入口網站的安全性小組處理。

   2. 為Microsoft Sentinel 解決方案設定 SAP 系統，包括設定 SAP 授權、設定 SAP 稽核等等。 建議您讓SAP BASIS小組完成這些步驟，而我們的檔包含SAP文件的參考。 安全性小組也會執行某些步驟。

3. 部署容器化數據連接器代理程式，以連線您的 SAP 系統 。 此步驟需要安全性、基礎結構和 SAP BASIS 小組之間的協調。

4. 啟用 SAP 偵測和威脅防護。 此步驟由 Azure 入口網站的安全性小組處理。

額外的選項包括：

• 收集 SAP HANA 稽核記錄
• 手動部署 SAP 資料連接器代理程式

停止 SAP 資料收集

如果您使用數據連接器代理程式，且需要停止Microsoft Sentinel 收集 SAP 數據，請停止記錄擷取並停用連接器。 然後移除 SAP 系統上所安裝的額外使用者角色和任何選擇性的 CR。

如需詳細資訊，請參閱 停止 SAP 資料收集。

相關內容

如需詳細資訊，請參閱

• 關於Microsoft Sentinel 內容和解決方案。
• 監視 SAP 系統的健康情況和角色
• 更新 Sentinel 的 SAP 資料連接器代理程式Microsoft

後續步驟

檢閱必要條件，開始部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案：

先決條件